Micro­soft Security Settings – Zehn Tipps für höhere IT-Sicherheit

|

Die Hacker­an­griffe auf Unter­nehmen nehmen zu und werden immer raffi­nierter. Daher wird IT-Sicher­heit zuneh­mend wichtiger für den erfolg­rei­chen Geschäfts­be­trieb. In unserem heutigen Beitrag möchten wir Ihnen die zehn Security-Tipps von Micro­soft vorstellen, sie reichen von Multi-Faktor-Authen­ti­fi­zie­rung bis hin zu starker Verschlüsselung.

Die Zahl der Hacker-Attacken auf Firmen steigt seit Jahren stetig an. Die Frage ist nicht mehr, ob etwas passiert, sondern wann. Denn Digita­li­sie­rung, stärkere Cloud-Nutzung, die Verla­ge­rung von Arbeits­plätzen ins Homeof­fice oder die zuneh­mende Vernet­zung etwa im Internet der Dinge bieten den Angrei­fern größere Angriffs­flä­chen. Die Bedro­hung nimmt also eher zu als ab. Unter­nehmen müssen daher effizi­ente Security-Prozesse aufbauen, um sich vor Angriffen zu schützen oder schnell reagieren zu können.

Manchmal reichen aber schon relativ einfache Einstel­lungen / Maßnahmen aus, um Cyber­at­ta­cken zu verhin­dern und so Unter­neh­mens­daten besser zu schützen. Im Folgenden geben wir Überblick über die zehn Security-Tipps von Microsoft:

Tipp 1: Multi-Faktor-Authen­ti­fi­zie­rung nutzen

Die Multi-Faktor-Authen­ti­fi­zie­rung (MFA) verlangt von Anwen­dern beim Zugriff auf ihr Benut­zer­konto oder Anwen­dungen neben Benut­zer­namen und Kennwort zusätz­liche Identi­täts­nach­weise (Faktoren). Das können biome­tri­sche Merkmale wie Finger­ab­druck oder Iriser­ken­nung sein, ein Hardware-Token oder ein einma­liges Kennwort (One Time Password), das per E‑Mail, SMS oder Apps, wie die Authen­ti­cator-App von Micro­soft, verschickt oder erzeugt wird. Die MFA erhöht das Schutz­ni­veau, wenn ein Faktor kompro­mit­tiert wird. Cyber­kri­mi­nellen fällt es dann deutlich schwerer, auf vertrau­liche Daten und Anwen­dungen zuzugreifen.

Micro­soft empfiehlt, die Mehr-Faktor-Authen­ti­fi­zie­rung insbe­son­dere auch für privi­le­gierte Benutzer-Accounts wie „Adminis­trator“ oder „root“ vorzu­schreiben. IT-Teams geben über diese Zugänge Daten im Netzwerk frei, instal­lieren Software oder überwa­chen wichtige Netzwerk­ge­räte zum Schutz vor Bedro­hungen. Da sich die privi­le­gierten Nutzer im Inneren der IT-Systeme bewegen, sind die Schäden groß, wenn Unbefugte in den Besitz von adminis­tra­tiven Zugangs­daten gelangen. Denn dann können sie sich in unter­neh­mens­kri­ti­schen Systemen, Appli­ka­tionen und Daten frei bewegen und nach Belieben agieren. Deshalb sollten Unter­nehmen privi­le­gierte Konten beson­ders sichern.

Tipp 2: Blockieren von Legacy-Authentifizierung

Die meisten kompro­mit­tie­renden Anmel­de­ver­suche erfolgen über eine veral­tete Authen­ti­fi­zie­rung. Ältere Office-Clients wie Micro­soft Office 2010 verwenden Legacy-Proto­kolle wie IMAP, SMTP und POP3 und unter­stützen keine modernen Methoden wie die Multi-Faktor-Authen­ti­fi­zie­rung. Selbst wenn in der Umgebung eine MFA-Richt­linie konfi­gu­riert ist, können böswil­lige Angreifer diese Maßnahme über die Legacy-Proto­kolle umgehen. Daher sollten Firmen diese Legacy-Authen­ti­fi­zie­rung mit einer Richt­linie blockieren.

Tipp 3: Passwörter nicht ablaufen lassen

Unter­su­chungen haben ergeben, dass Passwörter unsicherer werden, wenn sie regel­mäßig zurück­ge­setzt bezie­hungs­weise erneuert werden müssen. Benutzer neigen dazu, ein schwä­cheres Passwort zu wählen und es bei jeder Änderung leicht zu variieren. Wenn ein Benutzer ein starkes Kennwort erstellt (lang, komplex, mit Zahl und Sonder­zei­chen), sollte es in 60 Tagen noch genauso stark sein wie zu Beginn. Laut Micro­soft sollten Nutzer Kennwörter nicht ohne beson­deren Grund regel­mäßig wechseln. Der Konzern empfiehlt, vor allem für Cloud-Anwen­dungen die Richt­linie für Kennwörter auf „Nie ablaufen“ einzustellen.

Tipp 4: Zurück­setzen von Kennwör­tern per Selbstbedienung

Firmen sollten laut Micro­soft das Self-Service-Passwort-Reset im Azure Active Direc­tory (AD) aktivieren, damit Anwender nicht mehr den Helpdesk einschalten müssen, um ihre Passwörter zu ändern. Da diese Funktion gut mit dem Kennwort­schutz im Azure AD zusam­men­ar­beitet, werden leicht zu erratende Passwörter verhindert.

Tipp 5: Benut­zer­ri­siko-Richt­linie für bedingten Zugriff beim Anmelden aktivieren

Die meisten Anwender weisen ein „normales“ Verhalten auf, das die Adminis­tra­toren nachver­folgen können. Gibt es hier auffäl­lige Anoma­lien, kann es riskant sein, die Anmel­dung für das entspre­chende Benut­zer­konto zu erlauben. Daher sollten Firmen über das Azure Active Direc­tory Benut­zer­ri­siko-Richt­li­nien für den bedingten Zugriff konfi­gu­rieren, um eine Anmel­dung, die auf ein kompro­mit­tiertes Benut­zer­konto hindeutet, zu sperren oder eine mehrstu­fige Authen­ti­fi­zie­rung zu verlangen. Dann lässt sich beweisen, ob es sich auch wirklich um die Person handelt, die vorge­geben wird.

Tipp 6: Vorsicht bei externen, nicht verwal­teten Anwendungen

Micro­soft empfiehlt, den Zugriff auf integrierte Apps von externen Anbie­tern zu regle­men­tieren und nur notwen­dige Apps zu erlauben, die Sicher­heits­kon­trollen unter­stützen und verwaltet sind. Da externe Anwen­dungen nicht von Micro­soft erstellt werden, besteht die Möglich­keit, dass sie für böswil­lige Zwecke wie dem Ausspähen von Daten verwendet werden. Angreifer können über diese integrierten Apps dauer­haften Zugriff auf die Services von Firmen erhalten, ohne Benut­zer­konten kompro­mit­tieren zu müssen.

Tipp 7: Kunden-Lockbox für Micro­soft Azure aktivieren

Die Kunden-Lockbox für Micro­soft Azure bietet eine Oberfläche, auf der Kunden Anfor­de­rungen nach Zugriff auf Kunden­daten prüfen und dann geneh­migen oder ablehnen können. Das Feature wird in Fällen verwendet, in denen ein Micro­soft-Techniker während einer Support­an­frage auf Kunden­daten zugreifen muss. Die Anfrage ist zeitlich begrenzt, und der Zugriff auf die Inhalte wird blockiert, nachdem der Support-Techniker das Problem behoben hat.

Tipp 8: Mindes­tens zwei globale Adminis­tra­toren bestimmen

Micro­soft 365 bietet eine Reihe von Adminis­tra­tor­rollen, die Firmen ihren Nutzern zuweisen können.  Ein Beispiel ist die des globalen Adminis­tra­tors, der fast unbegrenzt auf die Einstel­lungen, Anwen­dungen und Daten des Unter­neh­mens zugreifen darf. Globale Adminis­tra­toren dürfen beispiels­weise die Kennwörter für alle Benutzer zurück­setzen oder Domänen hinzu­fügen und verwalten. Da nur ein anderer globaler Adminis­trator das Kennwort eines globalen Adminis­tra­tors zurück­setzen kann, empfiehlt Micro­soft, im Unter­nehmen mindes­tens zwei globale Adminis­tra­toren (höchs­tens vier) vorzu­sehen, falls es zu einer Konto­sperre kommt. Über einen weiteren derar­tigen Account können sich die Adminis­tra­toren auch gegen­seitig auf Anzei­chen eines Verstoßes überwachen.

Tipp 9: Adminis­trator-Rechte einschränken

Adminis­tra­toren mit einge­schränkten Rechten haben mehr Rechte als Standard-Nutzer, aber nicht so viele Rechte wie globale Adminis­tra­toren. Sie haben nur Zugriff auf Funktionen, die sie zum Erledigen einer bestimmten Aufgabe benötigen. Beispiele für derar­tige Rollen wären „Kennwort-Adminis­trator“, „Exchange-Online-Adminis­trator“ oder „Helpdesk-Adminis­trator“. Diese einge­schränkten Befug­nisse erhöhen den Schutz von Daten und senken das Risiko.

Tipp 10: Starke Verschlüs­se­lung ohne TLS 1.0/1.1 und 3DES

Die Verschlüs­se­lungs-Proto­kolle TLS 1.0 und TLS 1.1 und das Verschlüs­se­lungs-Verfahren 3DES sind veraltet und daher unsicher. Micro­soft rät daher alle Clients zu prüfen, ob sie TLS 1.0/1.1 und 3DES für die Kommu­ni­ka­tion mit Micro­soft Office 365 verwenden. Firmen sollten ihre Clients aktua­li­sieren und diese schwä­cheren Proto­kolle und Verschlüs­se­lungen deaktivieren.

Sollten Sie Unter­stüt­zung bei der Einrich­tung der Security Einstel­lungen von Micro­soft benötigen, kontak­tieren Sie uns.

Wir unter­stützen Sie gerne.

 

Blogautor



Kontakt zur netunite AG

Ihr Anliegen. Unsere Experten. Erleben Sie netunite. Wir freuen uns auf Ihre Anfrage.
Gerne sind wir auch telefonisch unter 089/8906599-0 oder per E-Mail unter info@netunite.eu für Sie erreichbar.

netunite AG
Lindwurmstraße 97
80337 München

    Pflichtfeld
    Pflichtfeld
     
    Pflichtfeld
     
    Pflichtfeld